Segurança e Compliance

RGPD e Inteligência Artificial: Riscos e Boas Práticas

Onde o RGPD e a IA se cruzam: dados pessoais em prompts, bases legais, avaliações de impacto e boas práticas para equipas.

18 de março de 2026·3 min de leitura·
RGPD e Inteligência Artificial: Riscos e Boas Práticas

O RGPD não foi escrito a pensar em IA generativa, mas aplica-se-lhe por inteiro — e a combinação dos dois cria armadilhas onde empresas bem-intencionadas caem todos os dias. Este guia percorre os pontos de fricção reais e as práticas que os resolvem, sem juridiquês.

O princípio que resolve 80% das dúvidas

Colar dados pessoais num prompt é tratamento de dados pessoais. Nome de um cliente num email a resumir, CV de um candidato a analisar, transcrição de reunião com nomes — tudo isto é tratamento sob o RGPD, com tudo o que isso implica: base legal, finalidade, minimização, e um contrato de processamento com quem recebe os dados (o fornecedor da IA).

Deste princípio decorre a pergunta-chave para qualquer uso de IA na empresa: para onde vão estes dados e ao abrigo de quê?

Os cinco pontos de fricção na prática

1. Contas pessoais gratuitas

O caso mais comum e mais grave: colaboradores a usar contas gratuitas onde os dados podem ser usados para treino e não há contrato de processamento (DPA). Dados pessoais nestas condições = violação. Solução: contas empresariais (que incluem DPA e excluem treino) e regras claras — o essencial está no nosso guia de uso seguro de IA.

2. Minimização ignorada

O RGPD exige usar apenas os dados necessários. Na prática de IA: anonimize antes de colar. "Cliente A reclamou do atraso" funciona tão bem como o nome verdadeiro — e elimina o problema pela raiz.

3. Decisões automatizadas sobre pessoas

Usar IA para triar candidaturas, avaliar crédito ou segmentar pessoas com efeitos significativos ativa o artigo 22.º: direito a intervenção humana, transparência, e provavelmente uma avaliação de impacto (AIPD). Se a IA decide sobre pessoas, o nível de exigência sobe drasticamente — e o IA Act acrescenta a sua própria camada para estes casos.

4. Transparência

Se usa IA em interações com titulares de dados (chatbots de apoio, emails gerados), a informação de privacidade deve refletir isso. Esconder o uso de IA é risco legal e reputacional.

5. Direitos dos titulares

Apagamento e acesso tornam-se complicados quando dados pessoais entraram em ferramentas de terceiros. Mais uma razão para a regra de ouro: o que não entra, não precisa de sair.

O checklist mínimo para a empresa

  1. Ferramentas de IA aprovadas com DPA assinado e opção de não-treino ativada
  2. Regra de anonimização por defeito em prompts
  3. Lista vermelha: categorias de dados que nunca entram em IA (saúde, dados financeiros de pessoas, menores)
  4. AIPD antes de qualquer uso de IA que decida ou perfile pessoas
  5. Registo de atividades de tratamento atualizado com os usos de IA
  6. Formação — a maioria das violações nasce de desconhecimento, não de má-fé

Perguntas frequentes

Posso usar ChatGPT para escrever emails a clientes?

Pode — com conta empresarial e sem colar dados desnecessários. Descreva o contexto sem identificar a pessoa quando possível.

O fornecedor diz que é "RGPD compliant". Chega?

Não. Peça o DPA, verifique onde os dados são processados e se são usados para treino. "Compliant" no site de marketing não é um documento contratual.

E se já colámos dados pessoais em contas gratuitas?

Pare, avalie a gravidade (que dados, de quem, quando), e fale com o vosso DPO ou apoio jurídico sobre a necessidade de notificação. E use o episódio para justificar as contas empresariais.

Plataforma Portuguesa

Desenvolvida e gerida em Portugal.

Dados Protegidos

Infraestrutura europeia com encriptação SSL.

Conformidade RGPD

Respeitamos as normas europeias de privacidade.

Pagamentos Seguros

Stripe + métodos de pagamento locais e internacionais.

VisaMastercardApple PayGoogle PayPayPalStripe Link
Pagamentos processados com segurança porStripe